{
“title”: “ハンドラハッカー、RDPとNetBirdを悪用した一連のウィパーアタックを実行”,
“content”: “
ハンドラハッカー、RDPとNetBirdを悪用した一連のウィパーアタックを実行
\n
ハンドラハッカーは、イランの国家関連の破壊的アクターで、従来のRDP(リモートデスクトッププロトコル)と新しいツールであるNetBirdやAI支援のウィパーソフトウェアを組み合わせて、迅速に被害者のネットワークを破壊する攻撃を展開しています。
\n\n
ハンドラハッカーの背景
\n
ハンドラハッカーは、イランの情報機関と安全保障省(MOIS)に結び付けられるオンラインのパーソナリティで、Void Manticore(Red SandstormやBanished Kittenとしても知られる)によって運営されています。このクラスタに関連する他のパーソナリティには、イスラエルやアルバニア向けのキャンペーンで使用されたKarmaとHomeland Justiceがあります。
\n\n
初期アクセスと事前活動
\n
ハンドラハッカーは、VPNの資格情報を悪用して初期アクセスを獲得し、ITやサービスプロバイダーを標的とすることで、広範な下流アクセスを持つアカウントを収集しています。
\n
アナリストたちは、組織のVPNインフラストラクチャに対して数百回のログオンとブルートフォース攻撃を観察しています。これらの攻撃は、商用VPNノードやデフォルトのWindowsネーミングパターンを使用するホストから発生することが多いです。
\n\n
ネットワーク内での移動と破壊
\n
ハンドラハッカーは、RDPセッションを介してネットワーク内に移動し、NetBirdを手動でインストールして内部ホストに到達します。NetBirdは、被害者のブラウザを使用して公式サイトからダウンロードされます。
\n
この手法により、攻撃者はネットワーク内でトラフィックをトンネリングし、複数のフットホールドから同時に活動を調整することができます。
\n\n
破壊フェーズ
\n
破壊フェーズでは、ハンドラハッカーは複数のウィパーソフトウェアを同時に使用して、被害者のネットワークを最大限に破壊します。
\n
- \n
- カスタム実行ファイルであるハンドラウィパーソフトウェアを使用して、ファイルの内容を上書きし、MBRレベルのウィパリング技術を使用してシステムディスクを破壊します。
- カスタムのPowerShellベースのウィパーソフトウェアを使用して、ユーザーのディレクトリ内のファイルを大量に削除します。
- VeraCryptを悪用して、システムドライブを暗号化し、復旧を困難にします。
\n
\n
\n
\n\n
防御策
\n
防御者は、強力な認証をリモートアクセスに適用し、VPNや特権アカウントに対するMFAの強制を優先すべきです。また、異常なログインパターンを監視し、RDPの露出を制限し、NetBirdなどのネットワークツールの使用を厳しく制限し、グループポリシーの変更や大規模なファイル削除を監視することで、ハンドラスタイルの攻撃を早期に検出・阻止することが重要です。
\n}<|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|><|im_start|>